新华财经北京10月22日电 “数据安全观的核心是使用安全。在数据流通时代,即多种数据与多方数据的融合计算时代,数据的使用安全逐渐上升到一个非常显眼的位置。”华控清交信息科技(北京)有限公司董事长、首席执行官张旭东在21日举行的2021金融街论坛年会“数字经济与金融科技”分论坛上致辞时表示。
张旭东认为,金融行业是数据高密度使用、高价值使用的领域,敏感数据、重要数据较多。所以,金融行业对数据使用的监管需求迫在眉睫,加强监管才能使它合规、合法、有效地使用。
全文演讲如下:
今天我主要想讲的是,我国两部新的法律出台以后,从9月1号开始,我国就进入了数据行业与数据生态有法可依的一个新时代,11月1号《中华人民共和国个人信息保护法》也即将生效。我仔细研读过这方面的几部法律,感受最深的是《中华人民共和国数据安全法》,它第一次从法律层面定义了数据是什么。在这之前,上至宪法,下到村里的《治安管理条例》,没有法律法规对数据进行过定义。此外,除数据定义之外,《中华人民共和国数据安全法》还阐明了数据的安全责任,即数据的控制方要对数据的安全负主要责任,主管部门对数据安全负监管责任。那么,这里提到的数据安全,到底是什么数据的安全?这也是我接下来要讲的内容,数据安全包括传统数据观的数据保管安全和新数据观的数据使用安全。
11月1号将要生效的《中华人民共和国个人信息保护法》对此讲得更明确,它对处理个人信息的目的和方式提出了全新要求。最核心的是第六十九条,大意是处理个人信息如果发生权益纠纷,数据处理方必须自证清白,如果数据处理方无法自证清白,则做有罪推断。这个法条对数据处理方、银行及各行各业都提出了很高的要求。做不做得到呢?有没有技术、制度所形成的能力来保障它呢?做得到,有没有好方法呢?做不到,又怎么办?实际上,随着科技的发展、我们对数据认识的发展,我们能够做到。
我简单讲一下新的数据要素观。明文数据的交易流通在理论上是个伪命题,它从信息学的角度与经典经济学的角度都不成立。但是大约在十年前,也就是2010年前后,随着大数据、人工智能技术的发展,数据生态上发生了一个重要的变化,数据的主要使用主体从人(原来我是做投资精算的,我看数据,然后电脑帮我算),变为了机器。在这个前提下,用密码学技术、现代IT技术,可以把数据当中可见的信息部分和无需可见就可进行计算的使用价值区分开来,这用行话叫“关闭侧信道”,这是做到数据使用可用不可见的基础。
当然,我们现在说数据可用不可见已经说烂了。隐私保护计算行业发展非常迅猛,据说有两三百家企业都可以做到数据可用不可见。当然,它最重要的是安全假设:你信什么?不信什么?这个体系是这么建起来的,我就不展开讨论了。在这个前提下,运用计算合约技术对数据的使用价值进行严格限制,把它限制到特定的算法上,也就是使用目的和使用方式。颗粒度可以细到算法当中一个基础运算符号的差别,加法、乘法和比较,差了一个,合约就不认了。所以真正流通的不再是明文数据,而是数据的特定使用价值。通过什么方式?通过合约授送特定的数据使用权。
数据安全观的核心是什么?新的安全观核心就是使用安全。传统的数据安全的定义是保管安全,即保护对数据的控制权,防止被别人复制、防止被他人使用。刚刚吕首席讲的非常好。这就是安全和发展的问题,发展是主旋律,但是要在安全的前提下进行。传统的数据观是针对某一个数据,保证它的保管安全。而在数据流通时代,也就是多种数据与多方数据的融合计算的时代,数据的使用安全逐渐上升到一个非常显眼的位置。
数据融合计算就是开设数据化工厂,多种元素数据,在一定的配方和反应条件下,用算法进行融合计算,这也就是化合反应。大家普遍关注的结果,都是数据融合计算是否能实现提高生产效率、优化资源配置或提高风控水平,但很少有人注意到它的脆弱性和潜在的巨大风险。数据融合计算的结果很有可能对他人、社会,甚至是国家产生危害或造成重大风险。这就是数据使用的负外部性——这是一个经济学名词。
那么如何管控?管控风险就是要管控住数据的使用目的和使用方法。只有管控住数据使用的目的和方法,才能够践行两法,才能厘清数据的使用的责、权、利。
讲到金融行业,金融行业是数据高密度使用、高价值使用的领域,敏感数据、重要数据特别多。所以说,金融行业对数据使用的监管迫在眉睫,不监管就难以使它合规、合法、有效地使用。监管什么?就是监管数据的使用目的和方式。如计算合约,在事前通过合约的方式进行授权,事中使计算严格按照多方达成的计算合约进行,然后把合约和计算过程用区块链存下来,做到事后可回溯、可审计、可追责。所以最后一句讲的很清楚,数据使用可控、可计量技术已经进入使用,它是我国金融业或其他行业数据合法合规使用和数据监控的基础设施。
简单介绍一下,这里边有一个重要的概念,可能偏技术了一点。隐私保护计算有很多技术、很多架构、很多理论,但是从我们今天讨论的安全角度、监管角度来讲,它的区别只有两个,也就是只有两种架构。一种是支持监管的代理计算架构,使数据算法算力和控制面层层解耦,中心化管理、去中心化信任,达到可控可监管。另外一种是两两计算模式,它们的多方是两两计算进行叠加的,没有中心节点,也没有经办人,无法进行监管。这个不多赘述了。
最后给华控清交做个广告,刚刚吕首席说了你来做广告,确实最后也是广告,我就不读了。这里边重点讲出的是厘清责、权、利,讲究突出的是数据安全,个人信息保护关键的考量是安全假设。所以讨论到数据隐私保护技术、数据安全技术,第一个应该问的是你的安全假设是什么,你相信什么,不相信什么。
我就汇报到这儿。感谢大家!
编辑:丁晶
声明:新华财经为新华社承建的国家金融信息平台。任何情况下,本平台所发布的信息均不构成投资建议。
